Du point de vue de la CNIL, les fuites de données ne vont pas en s’améliorant. Dans son rapport d’activité 2024, la Commission Nationale de l’Informatique et des Libertés revient sur les fuites de données signalées à ses services.
Et constate que le nombre de celles-ci continue de progresser. La Commission a ainsi dénombré 5629 violations de données signalées sur l’année 2024, un chiffre en progression de 20% par rapport à l’année précédente.
Ce chiffre représente une part importante du nombre total de plaintes reçues par la CNIL en 2024, qui s’élève à 17 772. La Commission explique avoir prononcé 331 mesures correctrices et 87 sanctions sur l’année, pour un total de 55 millions d’euros d’amendes sur l’année passée.
De plus en plus de fuites, de plus en plus de victimes
Mais il n’y a pas que le nombre de plaintes qui inquiète la CNIL : celle-ci souligne que les fuites de données de grande ampleur, qui concernent plus d’un million de français, ont aussi été plus fréquentes, passant d’une vingtaine en 2023 à une quarantaine en 2024.
Il faut dire qu’en la matière, l’année a été chargée. Les attaques ayant visé France Travail, Free, les opérateurs de tiers payant ou encore la société Carrefour ont à chaque fois affichés des nombres importants de victimes de fuites de données.
La Commission explique avoir identifié plusieurs éléments récurrents dans les attaques qui lui sont signalées : dans de nombreux cas, les identifiants de connexions utilisés par les attaquants pour se connecter avaient été précédemment compromis, l’intrusion et l’exfiltration des données n’ont pas été détectés par l’organisme, qui ne se rend compte de l’incident qu’au moment où les données sont mises en vente, et enfin la Cnil rappelle « qu’une part significative des incidents implique un sous traitant ».
Renforcer l’accompagnement, sans oublier de sanctionner
Cette nouvelle donne conduit la CNIL à faire de la cybersécurité l’un de ses principaux axes de travail pour les prochaines années, aux côtés de l’encadrement des IA génératives et de la protection des plus jeunes face aux risques de surexposition aux écrans.
Sur le sujet de la cybersécurité, la CNIL promet donc de mieux accompagner les organismes et les entreprises en multipliant les recommandations en matière de cybersécurité et en sensibilisant le grand public. La Commission invite ainsi les organismes qui souhaitent renforcer leur sécurité à consulter sa page dédiée à la sécurisation des données. Cette section réalisée en collaboration avec l’Anssi liste les bonnes pratiques, les guides de sécurisation et le cadre réglementaire en vigueur sur la protection des données en proposant trois niveaux différents pour s’adapter à la maturité de l’organisation sur ce sujet.
La Cnil entend aussi contrôler la mise en œuvre des mesures de sécurité par les organismes. La commission explique d’ailleurs qu’en 2024, un tiers des sanctions prononcées par la CNIL visait des manquements à l’obligation de sécurité